マルウェア感染の調査対象のPCに対して、電源を切る前に証拠保全を行いたい。 ARPキャッシュを取得した後に保全すべき情報のうち、最も優先して保全すべきものはどれか。
ア | 調査対象のPCで動的に追加されたルーティングテーブル |
イ | 調査対象のPCに増設されtHDDにある個人情報を格納したテキストファイル |
ウ | 調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ |
エ | 調査対象のPCのシステムログファイル |
答え ア
【解説】
ARPキャッシュに載っているIPアドレスとMACアドレスの情報はPCが通信した相手になるが、ARPで調べられるのは同一サブネット内に限られるため、異なるサブネットとの通信についてはARPキャッシュでは分からないので、これを特定するためには動的に追加されたルーティングテーブル(ア)が必要になる。
これらの情報があると調査対象のPCがマルウェアに感染してしまったとき、どの装置にネットワーク経由でマルウェアを感染させた恐れがあるかを特定することができる。
【キーワード】
・ARPキャッシュ